Una investigación de Great Firewall Report destapó una fuga de aproximadamente 600 GB de datos internos asociados a la infraestructura de filtrado y monitorización de Internet de China. El conjunto incluye código fuente, repositorios de paquetes, sistemas de compilación, registros operativos y manuales utilizados para desplegar y mantener capacidades de censura y inspección profunda de paquetes en redes troncales y puntos críticos de intercambio de tráfico.
Alcance de la filtración: código, logs y arquitectura de la plataforma Tiangou
El análisis preliminar vincula los materiales con el laboratorio MESA del Instituto de Ingeniería de la Información (parte de la Academia China de Ciencias) y con Geedge Networks, empresa relacionada por fuentes del sector con Fang Binxing, considerado uno de los arquitectos del Great Firewall. Entre los hallazgos destacan sistemas de construcción completos para plataformas de DPI y módulos orientados a detectar y degradar herramientas de evasión de bloqueos.
DPI y huellas SSL/TLS: identificación de VPN y aplicaciones cifradas
Gran parte del “stack” filtrado está enfocada a clasificar tráfico mediante DPI, huellas SSL/TLS y registro integral de sesiones. DPI analiza no solo cabeceras, sino también patrones de contenido y comportamiento para atribuir protocolos y aplicaciones. El fingerprinting TLS correlaciona parámetros de la sesión (cifras, extensiones, orden de handshake) con perfiles típicos de clientes y servicios, permitiendo señalar VPN, túneles y proxys incluso cuando la carga útil permanece cifrada.
Tiangou: “GFW en caja” para ISPs y fronteras de red
Los documentos describen con detalle la arquitectura de Tiangou, una plataforma comercial tipo appliance orientada a proveedores y pasarelas de borde, en la práctica una “versión empaquetada” del Great Firewall. Las primeras implantaciones se basaron en hardware de HP y Dell; posteriormente, bajo restricciones de sanciones, la infraestructura habría migrado a equipamiento nacional, preservando las funciones de filtrado, bloqueo selectivo y recolección de telemetría.
Despliegues internacionales: Myanmar, Pakistán y otras jurisdicciones
Los materiales apuntan a un despliegue en 26 centros de datos en Myanmar, con monitorización en tiempo real de hasta 81 millones de conexiones TCP simultáneas. La plataforma, presuntamente operada por la empresa estatal de telecomunicaciones, se habría integrado en Internet Exchanges clave para facilitar bloqueos masivos y filtrado selectivo.
De acuerdo con Wired y Amnesty International, la infraestructura de DPI de Geedge Networks se exportó a otros países, entre ellos Pakistán, Etiopía y Kazajistán, a menudo combinada con soluciones de lawful interception. En Pakistán, el equipamiento se contempla como parte de WMS 2.0, una plataforma de vigilancia de redes móviles que, en ciertos escenarios, permitiría el interceptado de sesiones HTTP no cifradas.
Implicaciones técnicas y regulatorias: riesgos, vulnerabilidades y cumplimiento
La disponibilidad de logs de compilación, especificaciones y notas de ingeniería abre la puerta a identificar vulnerabilidades de protocolos y debilidades operativas de sistemas de censura. Esto podría favorecer tanto el fortalecimiento de mecanismos de elusión como la mejora de controles defensivos por parte de operadores de telecomunicaciones y proveedores de infraestructura.
Para los operadores, la filtración refuerza la urgencia de revisar su SSDLC, la gestión de secretos y la seguridad de la cadena de suministro, así como de evaluar riesgos de exportación de DPI en el marco de derechos humanos, legislación de vigilancia y regímenes de sanciones. Para reguladores y organizaciones de derechos humanos, los materiales ofrecen insumos para auditorías de cumplimiento y para medir el impacto de tecnologías de monitorización sobre la libertad de acceso a la información.
Buenas prácticas al analizar el archivo: aislamiento y verificación
El archivo ya está siendo replicado por iniciativas independientes como Enlace Hacktivista. Se recomienda un manejo estricto: uso de máquinas virtuales aisladas sin acceso directo a la red, verificación de sumas de comprobación, y evitar la ejecución de binarios fuera de cajas de arena y análisis estático. Estas medidas reducen el riesgo de contaminación y exposición a componentes potencialmente maliciosos.
La magnitud y granularidad de esta filtración la convierten en una referencia para entender el mercado global de DPI y la economía de la censura. Conviene seguir los análisis en curso de Great Firewall Report, Wired y Amnesty International, y aprovechar el momento para reforzar controles: inventarios de activos, segmentación de red, cifrado extremo a extremo, telemetría responsable, pruebas de seguridad continuas y gobernanza de proveedores. Adoptar estas prácticas no solo eleva la postura de ciberseguridad, sino que también mejora la conformidad regulatoria y la resiliencia operativa en entornos críticos.